цій дії. Ми можемо привласнювати певне значення цьому полю, щоб приховати наш брандмауер від надто цікавих провайдерів (Internet Service Providers). Справа в тому, що окремі провайдери дуже не люблять коли одне підключення розділяється декількома комп'ютерами. і тоді вони починають перевіряти значення TTL приходять пакетів і використовують його як один з критеріїв визначення того, один комп'ютер сидить на підключенні чи декілька.
Дія MARK встановлює спеціальну мітку на пакет, яка потім може бути перевірена іншими правилами в iptables або іншими програмами, наприклад iproute2. За допомогою міток можна управляти маршрутизацією пакетів, обмежувати трафік і т.п.
NAT
Використовується для виконання перетворень мережевих адрес NAT (Network Address Translation). Тільки перший пакет з потоку проходить через ланцюжки цієї таблиці, трансляція адрес або маскування застосовуються до всіх наступних пакетам в потоці автоматично. Для цієї таблиці характерні дії:
· DNAT
· SNAT
· MASQUERADE
Дія DNAT (Destination Network Address Translation) виробляє перетворення адрес призначення в заголовках пакетів. Іншими словами, цією дією виробляється перенаправлення пакетів на інші адреси, відмінні від зазначених у заголовках пакетів. (Source Network Address Translation) використовується для зміни вихідних адрес пакетів. За допомогою цієї дії можна приховати структуру локальної мережі, а заодно і розділити єдиний зовнішній IP адреса між комп'ютерами локальної мережі для виходу в Інтернет. У цьому випадку брандмауер, за допомогою SNAT, автоматично виробляє пряме і зворотне перетворення адрес, тим самим даючи можливість виконувати підключення до серверів в Інтернеті з комп'ютерів в локальній мережі.
Маскування (MASQUERADE) застосовується в тих же цілях, що і SNAT, але на відміну від останньої, MASQUERADE дає більш сильне навантаження на систему. Відбувається це тому, що кожного разу, коли потрібне виконання цієї дії - виробляється запит IP адреси для зазначеного в дії мережевого інтерфейсу, у той час як для SNAT IP адреса вказується безпосередньо. Однак, завдяки такому відмінності, MASQUERADE може працювати у випадках з динамічним IP адресою, тобто коли ви підключаєтеся до Інтернет, скажімо через PPP, SLIP або DHCP.
FILTER
У цій таблиці мають міститися набори правил для виконання фільтрації пакетів. Пакети можуть пропускатися далі, або відхилятися (дії ACCEPT і DROP відповідно), залежно від їх вмісту. Звичайно ж, ми можемо відфільтровувати пакети і в інших таблицях, але ця таблиця існує саме для потреб фільтрації. У цій таблиці допускається використання більшості з існуючих дій, проте ряд дій, які ми розглянули вище в цьому розділі, повинні виконуватися тільки в притаманних їм таблицях.
Так само можна здійснювати фільтрацію за станом з'єднання. Допустимими є стану NEW, ESTABLISHED, RELATED і INVALID. У таблиці, наведеній нижче, розглядаються кожне з можливих станів.
СостояніеОпісаніеNEWПрізнак NEW повідомляє про те, що пакет є першим для даного з'єднання. Це означає, що це перший пакет в даному з'єднанні, який побачив модуль трасувальника. Наприклад якщо отримано SYN пакет є першим пакетом для даного з'єднання, то він отримає статус NEW. Однак, пакет може і не бути SYN пакетом і тим не менш отримати статус NEW. Це може породити певні проблеми в окремих випадках, але може виявитися і вельми корисним, наприклад коли бажано підхопити сполуки, потурання іншими брандмауерами або у випадках, коли таймаут з'єднання вже закінчився, але саме з'єднання не було закрито.RELATEDСостояніе RELATED одне із самих хитрих raquo ;. З'єднання отримує статус RELATED якщо воно пов'язане з іншим з'єднанням, які мають ознака ESTABLISHED. Це означає, що з'єднання отримує ознака RELATED тоді, коли воно ініційовано з вже встановленого з'єднання, що має ознака ESTABLISHED. Хорошим прикладом сполуки, яка може розглядатися як RELATED, є з'єднання FTP-data, яке є пов'язаною з портом FTP control, а так само DCC з'єднання, запущене з IRC. Зверніть увагу на те, що більшість протоколів TCP і деякі з протоколів UDP вельми складні і передають інформацію про з'єднання через область даних TCP або UDP пакетів і тому вимагають наявності спеціальних допоміжних модулів для коректної работи.ESTABLISHEDСостояніе ESTABLISHED говорить про те, що це не перший пакет в з'єднанні. Схема установки стану ESTABLISHED достатня проста для розуміння. Єдина вимога, що пред'являється до з'єднанню, полягає в тому, що для переходу в стан ESTABLISHED необхідно щоб вузол мережі передав пакет і отримав на нього відповідь від іншого вузла (хоста). Після отримання відповіді стан з'єднання NEW або RELATED буде замінено на ESTABLISHED.INVALIDПрізна...
